A SlowMist (SlowMist) publicou a 20 de Maio no X informações de ameaça, confirmando que múltiplos pacotes npm de alta frequência e várias versões do Python SDK durabletask foram alvo de um ataque à cadeia de fornecimento por parte de “Mini Shai-Hulud(迷你沙蟲)”. A SlowMist afirmou ainda que o ataque de 16 de Maio à Grafana Labs está “muito provavelmente” relacionado com esta cadeia de fornecimento.
Linha temporal do ataque e componentes afetados
(Fonte: SlowMist)
De acordo com a linha temporal do ataque confirmada pela informação de ameaças da SlowMist:
19 de Maio de 2026:a conta npm atool (i@hust.cc) foi comprometida, e o atacante publicou automaticamente, no prazo de 22 minutos, 317 pacotes com 637 versões maliciosas, afetando componentes de alta frequência no ecossistema npm como AntV e Echarts-for-react.
20 de Maio de 2026 (horário de Pequim) 00:19 a 00:54:o atacante carregou de forma contínua versões do durabletask 1.4.1 (00:19), 1.4.2 (00:49) e 1.4.3 (00:54) num intervalo de 35 minutos, contornando os controlos oficiais de publicação da Microsoft e imitando uma publicação normal.
A SlowMist confirmou que, para além dos pacotes npm e Python infetados, o alvo do atacante inclui também credenciais e chaves dos programadores (GitHub PAT, npm Token, chaves AWS, Kubernetes Secret, Vault Token, chaves SSH e mais de 90 tipos de ficheiros sensíveis locais), bem como repositórios de código internos que podem ser acedidos através da divulgação de tokens.
Relação confirmada com a fuga de tokens do GitHub e o incidente da Grafana
Na sua informação de ameaças, a SlowMist explica a ligação de dois acontecimentos a esta cadeia de fornecimento:
Fuga em grande escala de tokens do GitHub:a SlowMist afirma que “as provas indicam que alguns dos tokens vazados poderão já ter sido usados para aceder e potencialmente vender repositórios oficiais de código do GitHub”. O GitHub confirmou que a fuga terá ocorrido devido a um dispositivo de um colaborador ter instalado uma extensão do VS Code infetada.
Ataque à Grafana Labs (16 de Maio de 2026):a SlowMist confirmou que o grupo de cibercriminosos obteve acesso não autorizado ao repositório de código do GitHub da Grafana Labs, descarregou o repositório e fez exigências de resgate, ameaçando com a divulgação de dados.
A SlowMist também esclareceu possíveis padrões de atuação do atacante: roubo de credenciais na nuvem e no dispositivo local, acesso não autorizado a repositórios internos e infraestruturas sensíveis na nuvem, movimento lateral entre máquinas dos programadores e canais CI/CD e venda de tokens do GitHub vazados.
Medidas de mitigação recomendadas pela SlowMist
Com base nas recomendações oficiais de confirmação da SlowMist:
Rotação imediata:todas as credenciais expostas do GitHub, npm, PyPI e nuvem
Substituir os pacotes afetados:substituir os pacotes npm/PyPI afetados por versões de segurança verificadas, ou congelar as versões das dependências
Isolamento do sistema:isolar os sistemas potencialmente comprometidos e realizar auditorias para impedir o roubo de credenciais ou o movimento lateral
Rever as dependências:verificar se os ficheiros de bloqueio (package-lock.json, yarn.lock, requirements.txt, etc.) incluem as versões afetadas
Monitorizar atividades anómalas:monitorizar atividades no GitHub e na nuvem, procurando indícios de eventos de autenticação anómalos e de fuga de tokens
Perguntas frequentes
Que pacotes foram confirmados como afetados pelo ataque da Mini Shai-Hulud?
De acordo com a informação de ameaças da SlowMist, os pacotes afetados incluem componentes de alta frequência no ecossistema npm como AntV e Echarts-for-react, bem como as versões 1.4.1, 1.4.2 e 1.4.3 do pacote Python durabletask. A SlowMist afirma que continuará a acompanhar se surgirem novas versões maliciosas publicadas.
Como é que a SlowMist determinou que a fuga de tokens do GitHub está relacionada com esta cadeia de fornecimento?
A avaliação da SlowMist baseia-se na análise de informação de ameaças, sendo classificada como “muito provável” (não confirmação absoluta). A justificação é que alguns dos tokens vazados poderão já ter sido usados para aceder ao repositório de código do GitHub. O GitHub também confirmou, de forma independente, o facto de um dispositivo do colaborador ter sido comprometido por uma extensão maliciosa do VS Code.
Como é que os programadores podem confirmar rapidamente se o seu projeto utiliza versões afetadas?
Com base na recomendação da SlowMist, podem verificar através dos comandos seguintes: para pacotes npm, usar npm ls --all; para pacotes Python, usar pip show durabletask para confirmar o número da versão; e, em simultâneo, verificar nos ficheiros de bloqueio (package-lock.json, yarn.lock, requirements.txt, etc.) se existem versões maliciosas afetadas.
